En façade, une annonce du directeur technique selon laquelle « peu de comptes » ont été touchés ; mais en coulisse, la maison mère Facebook qui semble entrée en gestion de crise : difficile de déterminer l’ampleur du piratage qui a frappé Instagram.
Le réseau social avait émis une première alerte mercredi dernier, affirmant que des tiers avaient pu avoir accès aux informations de contact – adresses électroniques et/ou numéros de téléphone – rattachées à certains comptes « vérifiés » (liés à des personnalités, des célébrités et des marques).
Le complément d’information apporté par Instagram dans la journée de vendredi en dit peu sur l’étendue du hack ; sinon qu’aucun mot de passe n’aurait été exfiltré.
Ce n’est pas ce que prétendent* ceux qui se revendiquent auteurs de l’attaque. Dans leur fil de discussion ouvert sur les forums Bitcoin Talk, ils déclarent détenir « l’intégralité de la base de données d’Instagram (plus de 200 millions d’utilisateurs) [sachant que la plate-forme en revendique 700 millions actifs par mois, ndlr] ».
Se qualifiant de brokers, ils poursuivent : « Nous ne faisons que vendre des données dont les sociétés disposent déjà par des canaux non officiels. » Et d’ajouter : « Nous avons plus d’informations qu’ils le pensent. Simplement, nous ne la vendons/publions pas. »
Les pirates disent, en l’occurrence, s’être concentrés sur quelque 6 millions de comptes « à valeur ajoutée ». On parle là d’acteurs comme Emma Watson, Zac Efron et Leonardo DiCaprio, mais aussi de chanteurs tels que Beyoncé, Snoop Dogg et Lady Gaga ou encore de sportifs parmi lesquels Neymar et Zinédine Zidane, à en croire la firme de cybersécurité RepKnight.
Les données en question, assorties d’un moteur de recherche, sont accessibles sur le réseau Tor (freakier444chaos.onion), mais aussi sur un site Web, baptisé Doxagram et dont l’adresse a déjà changé à plusieurs reprises, visiblement sous les coups de boutoir de Facebook.
L’achat de données se fait à un tarif unique : 10 dollars par compte, à régler en bitcoins en passant par les plates-formes d’échange Coinbase ou Cex.io.
En guise de preuve, les intéressés ont procuré un échantillon de 1 000 comptes au Daily Beast, qui a pu constater que de nombreuses adresses e-mail étaient authentiques… et surtout difficilement accessibles par d’autres moyens.
Sur Bitcoin Talk, un débat s’est engagé quant à la faille utilisée pour attaquer Instagram.
À l’évocation d’un certain « 1337r00t » susceptible de publier lui aussi des informations s’il n’était pas « remercié pour son travail », les pirates ont préféré faire amende, laissant entendre qu’ils se sont basés sur ledit travail : un exploit fondé sur une vulnérabilité dans la gestion des jetons de session.
Un lien semble pouvoir être fait avec le détournement, la semaine passée, du compte de Selena Gomez (125 millions d’abonnés), utilisé pour relayer des photos indiscrètes de son ancien compagnon Justin Bieber lors de ses vacances à Bora Bora à l’été 2015.
* Ils disent avoir en leur possession les mots de passe chiffrés.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…